2 September 2019

AuditConnect biedt ook in 2019 ondersteuning bij ENSIA-traject

AuditConnect biedt ook in 2019 ondersteuning bij ENSIA-traject

Gemeenten dienen jaarlijks via ENSIA (Eenduidige Normatiek Single Information Audit) verantwoording af te leggen over hun informatieveiligheid. Dat is vanaf 2017 wettelijk geregeld en ook over het jaar 2019 dient deze verantwoording plaats te vinden. De eerste deadlines hiervoor komen ondertussen snel dichterbij. AuditConnect biedt gemeenten ondersteuning in het verantwoordingstraject, zowel in de voorbereiding als in het proces tot aan de eindverantwoording.

Voor het ENSIA-traject moeten gemeenten uiterlijk op 31 december hun ingevulde zelfevaluatievragenlijsten in hebben gevoerd in de ENSIA-tool. “Daarin is met name aandacht voor de DigiD-aansluiting en het gebruik van Suwinet door gemeenten”, vertelt Gerhard Mars, SR IT Manager bij AuditConnect.

In de ENSIA-tool geeft de gemeente (d.m.v. een self assessment) aan of het voldoet aan de eisen die gesteld worden aan het gebruik van de DigiD-aansluiting en Suwinet. “Daarbij is belangrijk dat het gegeven antwoord ook onderbouwd wordt met passende bewijslast”, aldus Mars.

Dat kan documentatie zijn zoals procesbeschrijvingen of werkinstructies , waarmee wordt aangetoond dat de werkwijze in de organisatie is geborgd. Verdere bewijslast is ook het aantoonbaar hebben dat een controle op bijvoorbeeld de toegang op Suwinet is uitgevoerd door de verantwoordelijke persoon binnen de gemeente of samenwerkingsverband.

15 oktober

“Wij adviseren onze klanten om ervoor te zorgen dat ze rond 15 oktober de benodigde TPM’s van leveranciers (DigiD) die betrokken zijn bij hun aansluiting(en) - zoals de applicatiebeheerder of de hostingpartij, of in het geval van een SaaS-product de SaaS-leverancier – in het bezit te hebben. Op deze manier borg je dat je als gemeente voldoende tijd hebt om intern eventuele aanvullende documentatie op te zoeken en de vragenlijst in te vullen.” Deze TPM’s zijn noodzakelijk om de ENSIA-tool in te vullen.”

Deze specifieke TPM - of Third Party Mededeling - is een verklaring van een onafhankelijk auditor over de normen zoals deze gelden voor DigiD en/of Suwinet. Indien de gemeente gebruik maakt van Suwinet binnen een samenwerkingsverband, is een TPM over het gebruik van de Suwinet van de gemeente die deze toegang heeft vereist.

“Mochten er bevindingen in de TPM staan, dan moeten deze ook in de verantwoording door de gemeente in de ENSIA-tool opgenomen zijn.” Mars raadt dan ook aan om met leveranciers te bespreken of eventueel ontbrekende of ontoereikende onderdelen nog voor de deadline opgelost kunnen worden, zodat er een “schone” TPM verklaring afgegeven kan worden.

Indien de gemeente zelf de hosting van de website verzorgd waarop DigiD-aansluiting van toepassing is, dan heeft zij ook een Pentest-rapport nodig om aan te tonen dat zij aan de technische vereisten en maatregelen voldoet.

Heb je als gemeente op 31 december 2019 geen TPM van je leverancier, dan kan dat leiden tot afkeuring door de onafhankelijke auditor van normpunten in haar Assurance-onderzoek op de collegeverklaring. Daarom adviseren wij onze klanten om tijdig te starten met het uitvragen van de benodigde TPM’s en het laten uitvoeren van de benodigde pentest op DigiD-omgeving, indien deze zelf beheerd wordt door gemeente.

AuditConnect ondersteunt

AuditConnect biedt in en voor het gehele ENSIA-traject gemeenten ondersteuning. “We kunnen bijvoorbeeld een pre-audit uitvoeren waarbij we toelichting kunnen geven op de vraag en de normstelling en hoe je hieraan zou kunnen voldoen (de norm is soms lastig te interpreteren en het is niet altijd duidelijk wat er wordt verwacht aan bewijslast) alsmede voor de klant nagaan of alle beschikbare documenten ook voor een audit voldoende en volledig zijn”, vertelt Mars. “Zo kan je in twee tot drie dagen tijd inzicht verkrijgen in de gereedheid voor de audit en de compleetheid van je dossier.” Voorwaarde is wel dat alle documenten van leveranciers, de TPM’s van DigiD en/of Suwinet, dan al binnen zijn.

Verklaring

Na 31 december komt de afrondende fase van dit traject. Hierin moet door de gemeente een collegeverklaring opgesteld worden. “Dat is een voorgeschreven stuk tekst die wordt ingevuld op basis van de input zoals ingevoerd in de ENSIA-tool”, stelt Mars. “De conceptverklaring wordt ook door de auditor opgevraagd en moet dus in januari of februari klaar zijn, als de ENSIA-audit wordt uitgevoerd”. De auditor kijkt hierbij ook naar het gebruik van de voorgeschreven template.

AuditConnect kan helpen bij het opstellen van de collegeverklaring, zodat deze op tijd klaar is voor de audit. “Daar komt nog een oplegnotitie bij en dan kan het geheel naar de gemeenteraad voor goedkeuring. Pas daarna gaan deze documenten naar de auditor en kan er een definitieve versie van de Assurance-verklaring opgemaakt worden. De onderliggende stukken die bij de collegeverklaring en Assurance rapportage behoren worden op dat moment ook gewaarmerkt.”

Aan het einde van het traject dienen alle stukken geüpload te worden in het ENSIA-portaal. Ook hierin kan AuditConnect ondersteunen door tijdig bovenstaande stappen in het project te doorlopen en samen met de klant ook goed tijdslijnen af te stemmen. Met elkaar zorgen we ervoor om het project op tijd af te ronden.

Wil je meer weten over hoe AuditConnect kan ondersteunen tijdens het ENSIA-traject van 2019/2020? Neem dan contact met ons op. Bel 055-3010100, mail naar info@auditconnect.nl of neem een kijkje op onze website!

AuditConnect werkt onder andere voor de volgende bedrijven:
logo ActuIT - referentie ActuIT - AuditConnect Logo Axxerion - Axxerion - AuditConnect Logo Berkman Trading - Berkman Trading - AuditConnect logo Capgemini - referentie Capgemini - AuditConnect logo Connexys - referentie Connexys - AuditConnect Logo Gemeente Almere - Gemeente Almere - Privacy Audit - AuditConnect Gemeente Borne - Gemeente Borne - AuditConnect Gemeente Rotterdam - Gemeente Rotterdam - AuditConnect Logo HR2day - HR2day - AuditConnect INERGY - INERGY - AuditConnect logo BranchSolutions - ISAE 3402 voor BranchSolutions (ACF Software) - AuditConnect logo bosworX - ISAE 3402 voor bosworX ICT - AuditConnect Logo ITON - ITON - AuditConnect Logo Jouw Omgeving - Jouw Omgeving B.V. - AuditConnect Ministerie van Veiligheid en Justitie over GCOS - Ministerie van Veiligheid en Justitie over GCOS - AuditConnect Logo Mirabeau - Mirabeau - AuditConnect logo Caresharing - NEN7510 Caresharing - AuditConnect Logo Parnassia - Parnassia Groepp - AuditConnect Logo Progress - Progress - AuditConnect Logo RID De Liemers - RID De Liemers - AuditConnect logo RoutIT - referentie RoutIT - AuditConnect logo Salure - Salure - AuditConnect logo Stichting Gerrit - Stichting Gerrit (ISO 27001 implementatie) - AuditConnect logo UNI-learning - UNI-Learning - AuditConnect logo UNIT4 - ISAE 3402 voor UNIT4 - AuditConnect VSV Noorderpoort - VSV Noorderpoort - AuditConnect